El pasado mes de octubre, Windows 11 recibió una de las actualizaciones más importantes de su historia; y como era de esperar, la protagonista era la Inteligencia Artificial, con una gran cantidad de funciones diseñadas para ayudarnos en nuestro ordenador. Pero una de las funciones más esperadas no estaba por ninguna parte: hablamos de Recall, que por el momento sólo está disponible en versión previa.
En su día, Recall fue anunciada como toda una revolución para Windows 11. Recall es capaz de 'recordar' todo lo que hemos hecho en el ordenador, haciendo una captura de pantalla cada cierto tiempo y usando IA para analizar el contenido y mostrar la información que necesitamos. Por ejemplo, Recall es capaz de recuperar esa página web que hemos olvidado, la conversación que tuvimos, o el documento que necesitamos. El potencial es tremendo, pero el riesgo para la privacidad es tal vez mayor.
En respuesta a las críticas iniciales, Microsoft anunció varios cambios en Recall, que entre otras cosas minimizan la cantidad de datos privados que puede obtener; pero apenas unas semanas después del lanzamiento de Recall, ya es evidente que esas medidas no fueron suficientes, y que Recall obtiene datos privados pese a las promesas de Microsoft.
Así lo ha descubierto Avram Piltch de Tom's Hardware, que comprobó para su sorpresa que Recall había capturado datos personales como el número de la tarjeta de crédito, nombres de usuario y contraseña, y el número de la seguridad social. Tal vez lo más preocupante es que los datos fueron obtenidos incluso si estaban en el contexto de que eran privados; por ejemplo, si se introducían en un formulario de una página web que explícitamente pide un número de tarjeta de crédito.
Eso indica que la IA de Recall está ignorando el contexto de los datos, y eso despierta dudas sobre las supuestas medidas que Microsoft habría tomado para mejorar la privacidad. Por ejemplo, Piltch creó una página web falsa que pedía el número de tarjeta de crédito, el CVC y la fecha de caducidad; pese a que los datos estaban etiquetados correctamente, y a que esos datos pueden servir para realizar compras con la tarjeta, Recall los capturó igualmente.
Todos esos datos son especialmente sensibles, y dependiendo del país incluso pueden servir para robar la identidad de otra persona, además de su dinero; el hecho de que Recall los capture es algo grave, teniendo en cuenta que no debería hacerlo, aunque en teoría, aún no existe un peligro para los usuarios.
Microsoft asegura que los datos de Recall se guardan de manera cifrada en la memoria de nuestro ordenador, y no son enviados a un servidor externo. La única manera de acceder a estos datos, y a la función de Recall, es con Windows Hello; así que debemos introducir nuestra contraseña, o desbloquear el dispositivo con reconocimiento facial o de huella dactilar. Sin embargo, Microsoft puede tener dificultades para convencer a los usuarios de que Recall es seguro, si ya está haciendo cosas que se prometió que no haría.
Por el momento, Microsoft no ha realizado una declaración pública sobre la publicación de este problema; pero sí que ha dirigido a los periodistas a una declaración realizada con el lanzamiento de Recall, que afirma que continuará "mejorando la funcionalidad" de detección de datos sensibles y pide ayuda para mejorar el producto, solicitando a los usuarios de la versión previa que comuniquen este tipo de errores.